1IP地址分配与域间路由安全传统的域间路由协议BGP[4](bordergatewayprotocol,边界网关协议)存在很多安全隐患[5],对路由通告内容不加以验证,错误甚至蓄意伪造的路由可达信息可以随意在互联网上传播。具体表现为两种形式:IP地址前缀劫持和自治域路径信息窜改。前者是指某个自治域发出一个非本自治域内的IP地址前缀路由可达通告,导致网络中以该IP地址前缀为路由目的的全部或者部分流量被路由至该自治域;后者是指蓄意修改BGP报文的自治域路径信息以传播虚假的网络拓扑信息,为后续网络攻击行为作铺垫。 有众多研究针对BGP的安全缺陷提出了解决方案:a)以S-BGP[6]、SoBGP[7]等为代表,旨在协议层面弥补BGP的安全缺陷,以抵御IP地址前缀劫持和自治域路径信息窜改两种形式的攻击;b)以DoAV[8]、IPa+[9]以及RPKI[10]为代表,从完善IP地址分配机制的角度来避免IP地址前缀劫持。前者涉及BGP的协议改进,与IP地址管理无直接联系,本文不作讨论;后者从IP地址管理的角度出发来保障互联网域间路由安全,是本文要探研讨的重点。 IP地址前缀和路由源的自治域号(AS号)的正确映射关系是抵御IP地址前缀劫持的关键。互联网注册机构(如亚太互联网络信息中心)天然地拥有AS号和IP地址的分配信息以及两者的映射关系,但这些信息缺乏统一的数据格式,数据的完整性和一致性也缺乏保障。此外,提供这些信息的查询工具WHOIS[11]协议没有验证机制,很容易遭受各种类型的攻击。因此,有效地组织IP地址分配信息并构建授权信息的验证体系,成为在IP地址管理层面抵御IP地址前缀劫持的技术路线。 1.1基于DNS资源记录的路由源信息 基于DNS的公共目录服务性质和DNSSEC[12]安全扩展机制,以DoAV和IPa+为代表的技术方案通过对DNS相关资源记录进行修改,实现了IP地址前缀和其路由源映射关系的。使用DNS反向解析树来反映IP地址分配以及授权信息,是这类技术方案的核心思想。DoAV建议在DNS反向解析树中新增一条子树bgp.in-ad-dr.arp来实现特定IP地址前缀到其路由源AS号的映射。 DoAV设计了一种新的DNS资源记录类型“AS记录”来完成信息的。假定IP地址前缀205.1.1/24授权AS号为2914的自治域为其通告路由可达信息,那么该IP地址前缀信息的持有机构,在其维护的DNS区文件中添加的资源记录为1.1.205.bgp.in-addr.arpa.AS291424。基于DoAV的设计,边界路由器在使用BGP交换路由可达信息时,在DNS反向解析树中查询相关IP地址前缀的AS记录,以验证BGP消息中IP地址前缀的路由可达信息是否属实。而DNS查询数据本身的可信问题交由DNSSEC去解决。考虑到新设计的AS记录在短期内无法部署,DoAV建议将相关的路由源信息数据放在TXT记录中,但并未给出详细的TXT文本表示语法。 作为域间路由安全领域的典型解决方案,S-BGP尽管设计周密,但需要重新构建一个全球范围的PKI[13]是其部署的最大障碍。2009年底,ICANN(theInternetCorporationforAs-signedNamesandNumbers,互联网名称与数字地址分配机构)对DNSSEC实施“根签”,构建了一个基于DNS树的全球信任体系。为解决S-BGP在部署方面的困难,IPa+将DNSSEC资源记录作为一种轻量级的证书,以完成IP地址前缀与其持有实体公钥的关联。与DoAV类似,IPa+也利用了DNS中的IP地址反向解析树来完成资源的,并通过DNSSEC中新增的DS记录来证明IP地址的授权分配关系。例如,ARIN(北美互联网注册机构)持有IP地址块165.0.0.0/8,将其子空间165.72.0.0/16分配给AT&T(美国电话电报公司)。按照IPa+的设计,ARIN通过DNSSEC的DS资源记录72.165.in-addr.arpaDSHash(KEYAT&T)来证明AT&T公钥的真实性,以支撑S-BGP所设计的路由可达信息签名机制。考虑到IP地址前缀的路由源信息不会太过频繁,为提高验证效率,IPa+采用了周期查询并将查询结果进行缓存的验证机制。 1.2基于RPKI的路由源声明正如IPa+提到的那样,构建一个覆盖全球范围的PKI是S-BGP的最大部署障碍。然而,RPKI(resourcePKI)[10]的出现,不仅为S-BGP提供了实施基础,更为IP地址资源管理提供了一个可信的基础平台。 以X.509证书基本格式为基础,RPKI通过使用资源证书扩展[14]延伸了PKI的功能。资源证书扩展添加了新的X.509值域,用于携带证书持有者所拥有的IP地址资源或AS号。参照现有的IP地址分配体系,上游节点既是其邻接下游节点的资源分配者,也是其邻接下游节点所持有资源证书的颁发者。 由于层次化的IP地址分配体系,RPKI为树型信任结构,并采用分布式的RPKI资料库存储IP地址分配信息。每当有IP地址分配信息更新时,RPKI中的IP地址分配者就将新签发的资源证书到其管理的RPKI资料库中。 基于RPKI,IP地址前缀的路由源信息经由一种称为路由源声明的签名项,用于说明某个IP地址前缀授权给某个AS号进行路由可达通告。当需要授权某个AS号为特定的IP地址前缀通告路由可达信息时,该IP地址前缀的持有者使用其资源证书对应的私钥签发一个EE(endpointentity)证书,然后再用EE证书对应的私钥产生路由源声明签名项。EE证书中的IP地址前缀与路由源声明所表征的IP地址前缀一致。 完成授权后,IP地址前缀持有者将相应的路由源声明连同产生该签名项的EE证书到其管理的RPKI资料库中。 依托RPKI所提供的可信IP地址分配信息以及授权信息,验证者和RPKI服务器负责将这些信息推送给边界路由器,供其验证BGP消息所携带的IP地址前缀路由源信息。验证者(relyingparty)在全球范围内周期性地下载各个RPKI资料库的数据,并通过构造证书路径完成对路由源声明的验证。验证通过后,路由源声明中携带的授权信息被推送到全球各个角落的本地缓存中。一旦收到关于某个IP地址前缀的路由可达通告,边界路由器通过RPKI/router协议[15]向RPKI服务器发起查询,获得本地缓存的关于该IP地址前缀的授权信息,同路由可达通告中携带的路由源信息比较是否一致,并结合本地策略选择是否信任该路由可达通告。#p#分页标题#e# 目前,RPKI在全球范围内引起了广泛关注。全球五大地址注册机构都已提供RPKI证书业务,而在技术实现层面,互联网工程任务组(InternetEngineeringTaskForce,IETF)的SIDR(SecureInter-DomainRouting)工作组正在积极推进其标准化工作。 1.3小结 围绕IP地址前缀和路由源AS号的正确映射关系,或借助DNSSEC服务,或在IP地址分配体系中构建PKI,以上技术方案都实现了IP地址分配关系和授权信息的真实可信,有效地抵御了IP地址前缀劫持。但DoAV、IPa+和RPKI三者在部署机制、效率以及在域间路由安全的可扩展性方面有所差异,而比较这些差异则是构建可信互联网的重要考量元素。表1给出了DoAV、IPa+以及RPKI三者的比较。 借助DNSSEC所构建的信任链,使用DNS反向解析子树来反映IP地址分配信息以及授权信息的方法得以实现。这种方法的优势在于充分利用了现有DNS基础设施和DNS反向解析子树呈现的IP地址分配关系,DoAV和IPa+免去了构建额外认证体系的开销,相比RPKI,部署代价较小。在IP地址分配信息以及授权信息获取方面,DoAV和IPa+使用DNS的递归解析服务器,RPKI使用专门的验证实体,后者需要额外部署验证业务。此外,RPKI引入了新的查询协议,需要边界路由器升级软件。 作为一种全新的IP地址资源管理机制,RPKI的部署代价尽管较高,但其通过构建IP地址分配以及授权信息的认证体系,为互联网域间路由安全的各种技术方案提供了实施平台。 DoAV和IPa+仅仅面向IP地址前缀劫持,而RPKI通过BG-PSEC[16]的扩展还可以抵御自治域路径信息窜改。然而,RPKI未能将IP地址分配以及授权领域的所有问题考虑周全,比如在当前IPv4地址即将耗尽的背景下,IP地址交易认证(re-sourcetransferintheglobalRPKI)会对RPKI的运行产生影响,需今后作进一步研究。 2IP地址配置与接入网安全在当前的互联网体系结构下,IP地址是主机在互联网上的身份标志,因此IP地址的配置安全直接影响到网络运营商访问控制、计费、溯源等管理技术的实施,是构建可信互联网在接入网层面的主要内容之一。根据不同的配置策略,IP地址配置主要有静态配置、动态配置以及无状态自动配置[17]三类。 其中,无状态自动配置是IPv6内置的新协议,静态和动态配置可以经由主机配置领域的标准化协议DHCP[18,19](dynamichostconfigurationprotocol,动态主机配置协议)完成。根据配置对象不同的网络层协议,DHCP分为DHCPv4[18]和DHCPv6[19]两个版本。在IPv4时代,由于IP地址稀缺,按需动态的集中式IP地址配置方法DHCPv4被广泛应用;伴随IPv6的到来,IP地址尽管丰富,但由于集中式的IP地址配置机制便于网络管理实体对终端施加控制,DHCPv6的功能扩展和标准化工作仍然是IETF的重点工作之一。考虑到DHCP在IP地址配置领域的重要地位,本章通过梳理DHCP安全领域的技术方案来研讨IP地址配置和接入网安全之间的关系。 服务器和客户端是DHCP范畴内最基本的两个角色,DH-CP的安全问题主要来自未授权的DHCP服务器和未授权的DHCP客户端。前者指的是恶意主机伪装成DHCP服务器,向用户主机提供错误的IP地址等网络参数,导致用户主机无法正常接入互联网;后者是指恶意主机伪造成某个接入网的合法DHCP客户端,盗用该网络的IP地址、接入带宽等资源。因此,授权和身份验证是DHCP安全的核心内容。 2.1DHCP带外安全技术 由于早期的DHCP技术规范中缺乏安全机制,一类以DH-CPsnooping[20]和UA-DHCP[21]为代表的技术方案将IP地址配置管理和接入控制结合起来,在DHCP机制以外寻求IP地址配置安全问题的对策。 DHCPsnooping是目前广泛应用的一种基于链路层的安全技术系列,可以用于控制DHCP服务器应答报文的来源,以防止网络中伪装或非法的DHCP服务器为主机配置IP地址及其他网络参数。DHCPsnooping对交换机端口进行区分,将与合法的DHCP服务器直接或间接连接的端口设定为信任端口,而将其余端口设置为非信任端口。DHCPsnooping交换机仅转发来自其信任端口的DHCP应答消息,保证DHCP客户端获取正确的IP地址。对于来自非信任端口的DHCP服务器应答消息,DHCPsnooping交换机将其丢弃,防止DHCP客户端获得错误的IP地址。由于DHCP服务器一般静态地接入网络,DHCPsnooping能够有效地消除未授权的DHCP服务器带来的安全隐患,但DHCPsnooping缺乏认证机制,未授权的DHCP客户端盗用IP地址资源的问题无法解决。此外,DHCPsnooping依赖物理端口信息,仅适用于交换式局域网,无法在介质共享式以太网中保障DHCP的安全。 UA-DHCP提出了一种基于“用户名/密码”的DHCP客户端认证机制。UA-DHCP没有改变DHCP的核心协议,而是在DHCP之外增加了新的认证机制。按照UA-DHCP的设计,用户主机首先通过DHCP获得IP地址,该IP地址不能立即使用,仅用于与认证服务器交互完成用户名和密码的验证。验证通过后,网关打开该IP地址接入权限,UA-DHCP周期性检查用户主机的IP地址是否处在租约期内,如果过期,则立即要求该IP地址对应的用户输入密码加以重新验证;如果验证不能通过,则收回IP地址,关闭网关中该IP地址的接入权限。本质上,UA-DHCP先通过DHCP配置主机的IP地址,然后对用户加以认证来判定是否开放该IP地址的接入权限,是抵御未授权的DHCP客户端盗用IP地址资源的安全技术。然而,UA-DHCP中基于用户名和密码一致性检查的方法,只能用于一个管理域内,无法适用于漫游主机上的DHCP客户端认证。2.2DHCP安全扩展技术带外机制的DHCP安全保护机制或依赖接入环境特征,或依赖接入控制策略,没有从根本上改变DHCP缺乏身份验证机制的现实,因此在DHCP的协议范畴内寻求安全问题的对策,成为学术界和工业界一直以来的热点技术路线,并形成了以DelayedAuth[22]、DHCP++[23]、KerbAuth[24]、SigZero[25]以及E-DHCP[26]等为代表的DHCP安全扩展研究领域,以解决DHCP安全范畴中身份验证的问题。 #p#分页标题#e# 作为DHCP安全扩展技术领域中唯一的IETF标准,De-layedAuth通过在DHCP服务器和DHCP客户端之间配置预共享密钥完成双向的身份验证,但密钥的预共享机制使得De-layedAuth难以灵活且高效地应对站点级网络中大量的配置工作。此外,DelayedAuth不支持主机的跨域管理,一旦主机变更了接入点,DHCP服务器和DHCP客户端之间的预共享密钥就不再有效。随着海量的移动主机接入互联网,支持跨域身份验证的DHCP安全扩展成为后续方案所秉持的基本目标。与DelayedAuth类似,DHCP++同样在DHCP服务器和DHCP客户端之间实现了基于共享密钥的消息认证码的身份验证机制。较之DelayedAuth中密钥的预共享模式,DHCP++通过将密钥协商过程嵌入到DHCP的基本消息交互中,实现了验证密钥的自动化管理,支持漫游主机的跨域认证,但DHCP++的密钥协商机制需要依赖可信第三方为DHCP服务器和DHCP客户端签发证书。 KerbAuth是一种基于Kerberos在线认证机制[27]的DHCP实体身份验证方法。在Kerberos服务器的配合下,KerbAuth通过DHCP的基本消息交互完成密钥在DHCP服务器和DHCP客户端之间的共享。在DHCP服务发现阶段,DHCP服务器向DHCP客户端的家乡KDC(keydistributioncenter,密钥分发中心)请求与该DHCP客户端的共享密钥;在DHCP服务确认阶段,DHCP服务器和DHCP客户端使用该密钥认证彼此的身份。KerbAuth具体的认证运算方法与DHCP++类似,区别仅在于DHCP服务器和DHCP客户端之间共享密钥的协商机制。 KerbAuth的实现需要在DHCP交互中穿插Kerberos协议,在保持DHCP状态机一致的要求下,引入了复杂的容错处理开销和管理负担。 由于DNSSEC支持在DNS的KEY记录中存放域名对应的公钥信息,SigZero以此为基础设计了一种面向主机名的DHCP客户端身份验证机制。按照SigZero的设计,DHCP客户端使用DNS主机名来标志自己的身份,并使用私钥对发出的DHCP消息进行签名,对应的公钥则存放在DNS的KEY记录中。通过DNS查询,DHCP服务器可以对获取DHCP客户端主机名所对应的公钥,进而验证签名。由于验证信息基于DNS查询,因此SigZero很容易实现。此外,基于DNS主机名的身份标志机制可以支持DHCP客户端的全互联网漫游身份验证。然而,SigZero只能用于验证DHCP客户端的身份,DHCP服务器的身份验证仍需要借助其他方法。 基于公钥证书签名机制,E-DHCP提供了面向双向身份验证的DHCP安全扩展方法。E-DHCP设计中的DHCP客户端和DHCP服务器均需要经由带外机制获得公钥证书。由于DHCP客户端在获得IP地址资源之前无法经由互联网构造证书的验证路径,因此,DHCP客户端必须将DHCP服务器的公钥证书添加在本地的信任列表中。利用DHCP消息中携带的签名以及带外配置的公钥证书,DHCP实体的身份验证得以实现。但带外配置信任证书的方式使得E-DHCP的DHCP服务器身份验证机制只能部署在一个管理域内。 2.3小结 面向IP地址配置的安全问题,本章围绕DHCP对相关问题的来源和技术方案进行了梳理和分析。这些方案在目标、技术基础、部署难易度以及可扩展性等方面不尽相同,表2从不同维度给出了对比。 在安全目标方面,DHCPsnooping和UA-DHCP没有触及DHCP本身,使用带外机制分别保障了DHCP服务器的授权和DHCP客户端的授权。而DelayedAuth、DHCP++、KerbAuth、SigZero以及E-DHCP等DHCP安全扩展机制主要面向DHCP本身的安全性,保障DHCP实体身份的可验证,没有考虑授权问题。判断DHCP服务器和DHCP客户端是否是合法的授权实体,需要带外授权信息的辅助。 由于移动接入需求越来越大,跨域管理是DHCP安全扩展需要正视的重要问题。DHCP++、KerbAuth以及E-DHCP可以对移动DHCP客户端的身份加以验证,但目前没有一个基于全球信任根的PKI,这些技术受到其依赖PKI有效范围的限制。由于DNSSEC已经部署,使用DNSSEC作为信任源的Sig-Zero对主机移动性的支持是全互联网级的。 在部署层面,DHCPsnooping和UA-DHCP仅仅取决于接入网的管理策略,不需要对DHCP设备进行改造。而2.2节提到的DHCP安全扩展技术都需要在协议层面对DHCP进行调整。特别是DHCP++和KerAuth,两者均在DHCP交互流程中嵌入了密钥协商机制,对协议改动较大,是部署的最大障碍。 由于DHCP服务器由接入网管理实体部署,管理实体可以利用DHCPsnooping实现DHCP服务侧的可信,思科、华为等设备制造商均支持这项功能。但在DHCP客户端认证领域,唯一形成IETF技术标准的DelayedAuth不支持跨域认证,其余的技术或实现复杂,或仅能支持有限的主机漫游。基于DNSSEC的SigZero是其中较好的实现方案,但都没有形成相关的技术标准。究其原因,IP地址配置还同接入网的管理策略密切相关。本章围绕DHCP研讨的IP地址配置安全机制均未考虑具体的接入认证和计费机制对DHCP安全扩展的制约。因此,结合运营商的接入网管理技术以研究面向具体接入环境的安全IP地址配置技术是该领域最好的演进方向。此外,随着家庭网络和物联网络的兴起,以及DHCPv6开始支持IP地址前缀[28],IP地址前缀自动化配置的协议安全将是构建可信互联网范畴内重要的研究内容之一。 3源地址验证 仅仅依赖安全的IP地址分配以及配置技术,仍不能完全支撑面向可信互联网的IP地址管理工作。由于互联网协议栈的网络层没有实现对数据包源IP地址的验证,源IP地址可以被随意伪造,作为实施网络攻击的前奏。为了弥补网络层协议设计的缺陷,源地址验证技术应运而生。根据验证机制部署的位置不同,源地址验证技术分为接入网验证、自治域间验证以及端到端验证。 3.1接入网源地址验证 接入网源地址验证技术利用数据包源地址和其转发路径的特定物理信息以及逻辑信息的绑定关系进行过滤。Ingressfiltering[29]是一个基于路由器中存储数据结构的轻量级过滤方案,路由器或者防火墙负责检查来自这个网络数据包的源IP地址是否属于这个网络,它可以使伪造源IP地址的数据包不能离开攻击者所属的子网,但无法抵御子网内的源地址伪造。#p#分页标题#e# 为防止子网内的源地址伪造,SPINACH[30,31]将IP地址和MAC地址的绑定关系注册到转发设备上,但MAC地址可以被用户修改,这种方法的脆弱性显而易见。SPINACH的作者进一步提出了一种面向交换式局域网的解决方案,以利用端口信息进行源地址验证。使用IP地址和交换机端口绑定关系完成源地址验证的做法很快就体现在了后续的解决方案中。历经发展,Ethane[32]是目前较为成熟的方案,但Ethane这种基于交换式局域网的设计仍旧没有彻底解决共享式以太网的源地址验证问题。 IPv6的出现为接入网源地址验证提供了新的技术基础。 清华大学的研究人员提出了一种使用IPv6扩展包头携带验证信息的源地址验证方法[33]。在该方法中,接入主机和接入网关之间共享密钥。主机在发送数据包之前,使用其与接入网关之间共享的密钥对数据包载荷进行哈希运算,并将运算结果携带在新设计的IPv6验证包头中供接入网关验证。然而,该方法并未对如何在接入主机和验证网关之间共享密钥进行细致的设计。CSAA[34]利用CGA[35]的自验证特性提出了一种具体的共享密钥分发机制。 使用共享密钥进行载荷哈希运算的验证机制可以实现高粒度的源IP地址验证,且不依赖于具体的接入环境特征,但密钥共享仍然受制于不同的接入控制协议。如何在不同的接入控制协议中捎带完成共享密钥在接入主机和验证网关之间的高效配置,尚有很多值得研究的内容。 3.2自治域间源地址验证 依托本文第1章研讨的域间路由安全技术,以SAVE[36]、SPM[37]和Passport[38,39]等为代表的域间源地址验证技术流派实现了IP地址前缀粒度的源地址验证。 在自治域的边界路由器上,SAVE对IP地址前缀与接收到该前缀的路由通告消息的接口建立关联。SAVE的实现依赖边界路由器之间相互交换域间路由信息,使得边界路由器涉及到大量的、可认证的数据交换。SAVE的复杂性比较高,可能成为DoS攻击的潜在对象。 与SAVE利用路由信息不同,SPM引入了一种轻量级签名机制在自治域对之间实现源地址验证。根据SPM的设计,当数据包离开源自治域时,自治域的边界路由器将为其添加一个基于源—目的自治域对的签名,以供目的自治域的边界路由器验证。SPM中所谓的签名没有采用任何加密技术,而是在数据包中携带源—目的地址对、源—目的IP地址前缀对或者源—目的AS号对的共享秘密,该秘密为一个常数。SPM的安全性基于骨干网报文难以被窃听的前提,但由于共享秘密以明文形式携带在数据包中,数据包在穿越自治域时,很可能被中间人窃听。 针对SPM中共享秘密容易被窃听的缺陷,Passport提出了一种基于数字签名的源地址验证方法。源地址所在自治域需要与数据包转发路径上的各个自治域分别共享密钥,并使用这些共享密钥分别产生签名供数据包沿途的各个自治域边界路由器验证。在数据包被路由至目的主机之前,一旦出现签名验证不正确或不存在的情况,该数据包就将被丢弃。较之SAVE和SPM,Passport最鲜明的特点是引入了密码学的签名技术,此举使得域间路由的数据包负荷增大,一旦数据包需要途径多个自治域,源自治域为数据包添加的签名将会很长,对骨干网的带宽消耗明显。 3.3端到端的主机级源地址验证 以上提到的若干源地址验证技术均在数据包的传输路径部署实施,对终端主机透明。尽管这些方案免去了数据包接收者的验证负担,但某些高安全要求的应用需要数据包的接收者亲自验证源地址。从源IP地址缺乏认证的根本出发,IP-Sec[40~42]设计了新的IP数据包扩展头,使其携带目的主机和源主机之间基于共享密钥的哈希签名。共享密钥以及验证策略等IPSec安全参数,可由管理员分别在通信双方的主机上手工配置,还可以使用专门的密钥交换协议[43]来完成端到端的协商。 IPSec在互联网的完整部署依赖于是否存在一个可信的并且能够处理海量用户证书的PKI。IPSec的管理也较为复杂,容易出现相关参数配置的错误配置。总之,证书管理和操作管理是IPSec实践和推广中最大的难题。 3.4小结 由于互联网体系结构设计上的缺陷,源地址验证是一个复杂的系统工程。为了有效地部署源地址验证机制,清华大学的研究人员设计了互联网源地址验证的整体框架[44],对各种源地址验证技术进行了整合,并在IETF发起成立了SAVI(sourceaddressvalidationimprovements)工作组,以推进相关技术细节的标准化。由于互联网边缘网络在物理特征、接入控制技术、资源分配机制以及管理策略上的巨大差异,源地址验证技术必须同具体接入环境结合,随着互联网由IPv4向IPv6演进,研究面向IPv6特征,特别是其地址结构特征的源地址验证技术,如之前提到的CSAA,将是今后该领域的演进方向之一。 纵览源地址验证技术的发展,验证机制都是对目前互联网体系结构下网络层工作机制的补充,依赖部署政策和网络运营策略,没有在根本上实现数据包源IP地址的真实可信。对于这一技术发展瓶颈,本文下一章提到的互联网审计研究领域给予了足够的关注和解决手段。 4面向IP地址的互联网审计 围绕IP地址管理的不同环节,上文对相关的技术进行了梳理和分析。这些技术尽管在基础资源层面为构建从可用到可信的互联网提供了有力的支撑,但这些技术或是已有技术的改进,或是对互联网体系结构的修补,没有触及当前互联网体系结构的内核,致使互联网的基础资源管理和协议簇越来越复杂。鉴于网络层在互联网协议栈中的重要地位以及上文在综述IP地址管理技术问题时提到的困难乃至瓶颈,工业界和学术界越来越来深刻地认识到互联网体系结构研究对于可信互联网的重要性。IP地址分配、配置以及验证等环节的安全技术研究直接推动了面向IP地址的互联网审计的问世。 #p#分页标题#e# 由于缺乏内在的审计机制,互联网并非一个足够安全的基础通信平台。审计(accountability)是指准确地将特定的行为同产生该行为的实体身份关联起来,并实施有效的问责。由于IP地址独立于互联网上层应用的特点,面向IP地址的互联网审计成为近年来一个新兴的研究领域。AIP[45]和BAFI[46]是该领域最具代表性的技术方案。 在源地址伪造之外,很多互联网的合法运行机制导致IP地址溯源困难,IP地址审计难以实现。例如,DHCP的使用导致同一IP地址先后被分配给不同主机使用,漫游主机的IP地址随着接入点的变更而变化。因此,在协议上实现IP地址可验证以及在资源管理上实现IP地址易溯源,成为面向IP地址的互联网审计领域的基本出发点。 通过对网络层协议进行重构,AIP使用扁平化结构的自验证IP地址取代了层次化结构的聚合式IP地址。AIP假设互联网由若干管理上独立但彼此互连的网络组成,每个网络又由若干个审计域组成。每个审计域将其公钥的哈希作为自己的标志符,审计域之中的终端同样使用自己的公钥哈希值作为身份标志符。审计域标志符和终端标志符共同组成了一个完整的IP地址,这种设计成功地实现了“身份”和“位置”两个语义在IP地址结构内的区分。基于新的IP地址结构,AIP进一步设计了网络层内置的源地址验证协议、域间路由安全机制并讨论了新的网络层协议下的可扩展路由问题。源地址验证和IP流量控制构成了AIP互联网审计机制的基本内涵。 在AIP之后,BAFI[46]也提出了一种互联网审计方法。 BAFI首先抽象出了一种可以区分“身份”和“位置”两个语义的IP地址。在此前提下,BAFI基于陷门哈希函数签名方法实现了一种轻量级的网络层消息签名机制[47],用以验证数据包发送源的非否认性和数据包载荷的完整性。在源地址验证的基础上,BAFI进一步提出了客户端票据的概念。客户端票据包含了客户端和服务器双方的身份信息、服务端主机所在的自治域号码以及有效时间等信息,可以协助服务器端主机方便地进行流量控制。基于陷门哈希函数的签名机制还使得BAFI方便地建立起了面向IP地址的互联网信誉评价系统。按照BAFI的观点,源地址验证、流量控制和信誉评价系统构成了互联网审计最基本的三个要素。BAFI的审计仅仅面向客户端,强调对通信发起实体的审计,没有讨论互联网控制实体如数据转发设备的审计问题。正如AIP在论述互联网审计概念时提到的那样,完整的互联网审计应当包含源实体审计(sourceac-countability)和控制实体审计(control-planeaccountability)。 互联网审计的概念兴起不久,相关研究也较少,但互联网审计是构建从可用到可信的互联网的关键,是可信互联网研究在IP地址资源管理领域的自然延伸。当前的研究反映出这样一个事实:在网络层实现互联网接入实体身份标志和位置标志的解耦,是实现互联网审计的必要条件,但在当前的互联网体系结构下难以实现。无论AIP还是BAFI,都是对下一代互联网互连互通层次标志设计的前瞻性研究,提出的解决方案无法与现有互联网IP地址结构或使用方式兼容,但IPv6地址的广泛使用在即,AIP和BAFI所折射的研究思想将有助于挖掘IPv6互联网提供审计的潜力。 5结束语 目前,全球互联网数字分配机构(IANA)正式宣布已经将IPv4地址库剩余的五个A地址,平均分配给包括亚太区互联网络信息中心在内的五个地区性互联网注册管理机构,标志全球现有的IPv4地址资源已经分配完毕,IPv6地址规划时代正式到来。IPv6的兴起不仅源于IPv4地址空间的局限,尽可能地弥补IPv4时代互联网安全上暴露的缺陷,也是IETF设计IPv6地址时的重要考量。 IPv6是网络技术史上的一次重要升级,IPv6在协议以及IP地址结构层面的特征为面向可信互联网的IP地址管理技术研究带来了机遇。如何解决IPv6地址管理中的诸多问题,在IPv4到IPv6的演进过程中构建从可用到可信的互联网,将是互联网社区重要的研究内容之一。